- Vulnerabilidade PixelSmash afeta a biblioteca FFmpeg, especialmente o decodificador MagicYUV da libavcodec, com CVE-2026-8461 e gravidade de 8,8/10.
- Atacam praticamente qualquer aplicativo que usa FFmpeg para processar vídeo, incluindo Jellyfin, Emby, Kodi, mpv, OBS Studio, Nextcloud, Immich e PhotoPrism.
- O exploit permite execução remota de código sem autenticação, apenas ao abrir um arquivo de vídeo especialmente criado (AVI, MKV ou MOV) de cerca de 50 KB.
- Em desktops, o ataque pode ocorrer ao abrir o arquivo ou ao ser gerado uma miniatura; gerenciadores de arquivos que utilizam ffmpegthumbnailer também estão vulneráveis.
- A correção já está disponível na versão 8.1.2 do FFmpeg; usuários e administradores devem atualizar os sistemas que utilizam os aplicativos afetados.
Uma falha crítica identificada na biblioteca FFmpeg, batizada de PixelSmash, permite a execução de código malicioso por meio de arquivos de vídeo especialmente criados. A vulnerabilidade, rastreada como CVE-2026-8461 com severidade 8,8, atua no decoder MagicYUV da libavcodec e pode ser explorada sem autenticação ou acesso prévio ao sistema. Diversos aplicativos que processam vídeo podem ser impactados.
A JFrog, empresa de segurança responsável pela descoberta, confirmou que o problema atinge um conjunto amplo de ferramentas e plataformas. Entre os afetados estão players como Kodi e mpv, servers de mídia como Jellyfin e Emby, soluções de armazenamento em nuvem, galerias de fotos e aplicativos de transmissão, incluindo OBS Studio. O alcance envolve sistemas operacionais variados, dada a onipresença do FFmpeg.
O funcionamento da falha está ligado a uma inconsistência na forma como o MagicYUV decoder gerencia fatias de imagem durante a decodificação. Em termos simples, uma parte do código reserva memória para dados de imagem, enquanto outra escreve além desse espaço, configurando uma condição de heap out-of-bounds write que permite a execução de comandos no dispositivo da vítima.
Para explorar a vulnerabilidade, basta entregar um arquivo de vídeo malicioso. Um arquivo de apenas 50 KB em formatos como AVI, MKV ou MOV pode ser suficiente para ativar o ataque quando o aplicativo tenta processar o arquivo ou gerar uma miniatura. Em desktops, o ataque ocorre seja ao abrir o arquivo em um player ou ao navegar até a pasta que o contém; gerenciadores de thumbnail que utilizam ffmpegthumbnailer também ficam vulneráveis.
A demonstração da exploração ocorreu em ambientes que incluem Jellyfin, Kodi, mpv, OBS Studio, Nextcloud, Emby, Immich e PhotoPrism, segundo a JFrog. A empresa destacou ainda o uso remoto de código no servidor de mídia Jellyfin durante a validação da falha. Não é necessária senha, conta ou privilégios especiais para que o exploit funcione.
A correção já está disponível. A equipe de FFmpeg lançou a versão 8.1.2 com o patch para o PixelSmash. Usuários e administradores devem atualizar os componentes afetados o quanto antes, especialmente em ambientes com serviços de transcodificação, streaming ou geração automática de miniaturas. A atualização busca mitigar a vulnerabilidade sem exigir alterações adicionais no fluxo de trabalho das aplicações.
Entre na conversa da comunidade